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Configuration de base 


Le seul fichier de configuration se trouve dans /etc/squid3/squid.conf. C'est un peu 
monolythique car un fichier d'une centaine de lignes est courant mais au moins on a tous sous 
la main! 


ATTENTION : cette configuration est destinée à la version 3. Concernant la version 
précédente (2.6) les différences sont mineures. 


Réseau 


Le premier paramètre http_port fixe le port d'écoute a 3128, les autres paramètres icp port 


et htcp_port désacivent les services icp et htcp inutiles quand on a qu'un serveur. 


http_port 3128 

icp port 0 

htcp_port 0 

visible hostname squid 
cache mgr admin@systemx.fr 


On pourra avantageusement utiliser les paramètres suivants pour améliorer la vitesse de 
résolution DNS : 


e positive dns ttl 1 day: une adresse existante sera conservée en cache 1 jour. 

e negative dns ttl 1 hour : Une adresse inexistante sera conservée en cache 1 heure. 
Si l'adresse devait redevenir accessible dans moins d'une heure il faudrait rafraichir le 
cache pour pouvoir accéder à cette adresse. 


Disque 
je vous conseille de créer un filesystem dédié (environ 10Go) que l'on montera sur /proxy. 


je vous conseille aussi d'utiliser le user proxy (créé par défaut lors de l'installation du paquet 
squid3) pour tous les fichiers utilisés par squid et lui affecter un home directory (dans notre cas 


[fÉ7Broxy) et un shell : /bin/bash. 


Il faut indiquer où stocker les informations relatives à l'activité ‘access log, store log, 
cache store log et celles relatives au cache : cache dir. 


Cache fective iser proOxy 

cache effective group proxy 

cache dir ufs /proxy/squid/cache 50000 32 512 
access log /proxy/squid/log/access.log 

cache log /proxy/squid/log/cache.log 


cache store log /proxy/squid/log/store.log 


ment 
es paramètres de cache dir sont: 


e ufs : format de stockage (ne pas modifier). 
e /proxy/squid/cache : répertoire du cache. 
e 50000: taille du cache (par défaut 100 Mo) ici 5Go. Indiquer au maximum 80% de 


l'espace disque. Si vous stockez les logs sur le même filesystem descendez à 50%. 
e 32: nombre de répertoires de premier niveau (par défaut 16). 


e 512 : nombre de répertoires de second niveau (par défaut 256). Dans notre cas ona 214 
répertoires. 


Pour créer l'arborescence adéquate : squid3 -z. 
Gestion des objets 
Politique de gestion 


Les paramètres suivants fixent l'utilisation et la taille des divers objets du cache. 


cache swap low 90 
cache swap high 95 
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ipcache low 90 
ipcache high 95 


Lorsque, respectivement, la taille des objets et des adresses IP stockées dans le cache 
atteignent, en %, la valeur /ow du cache les informations stockées commencent à être 
remplacées. Lorsque la valeur high est atteinte le remplacement devient plus agressif ! 


Taille des objets 


Les valeurs pour les objets sont spécifiées en Kb et les valeurs pour les adresses en nombre 
d'entrées. 


maximum object size 8192 
minimum object size 0 

maximum object size in memory 8 
ipcache size 4096 

fqdncache size 4096 


Dans notre cas les objets de taille supérieure a 8 Mb ne seront pas stockées dans le cache, et 
tous les objets de taille inférieure seront stockés puisque la valeur minimale est a 0. Les objets 
de taille infèrieure à 8 Kb pourront être gardés en mémoire. 

Seront aussi stockées en cache 4096 adresses IP et 4096 noms qualifiés ce qui a pour but 
d'accélérer la résolution DNS. 


Contrôle d'accès 
Les ACLs 


ll faut définir des règles nommées suivies d'un couple "clée valeur". Par défaut on pourra utiliser 
les suivantes : 


acl manager proto cache object 

acl gull re eo 00/0000 

Eca oe macna seco UZ7-O 0 1/32 10 0.050/8 12160 CHERS EEE SP OPO/ARE 
ael Que server Sine 102216800100 192,168 02110 

acl ounsdestip dst 2078465225. 221 2000 85.22 72104 

acl our destdom dstdomain .eset.com .avast.com 

acl our bandst dstdomain .youtube.com .deezer.com .facbook.com .myspace.com 
“msn.com <msn. Er 

acl to localhost dst 127.0.0.0/8 

acl Safe ports port 80 

acl Safe ports port 443 

cel gers porte pores 1023-69529 


C’est assez explicite pour se passer de trop longs commentaires ... 


e acl manager proto cache object : le protocole cache object 

e acl all src 0.0.0.0/0.0.0.0: cette acl pose maintenant problème, le mot clé a11 est 
réservé. On peut la supprimer. 

e acl our networks src 127.0.0.1/32 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 : 
toutes les adresses du réseau local. 

e acl our servers src 192.168.0.100 192.168.0.110 : quelques serveurs qui 
bénéficieront d’un traitement spécial. 

e acl our destip dst 207.46.225.221 209.85.227.104 : quelques destinations par 
adresses IP qui bénéficieront d’un traitement spécial (autorisation). 

e acl our destdom dstdomain eset.com avast.com: quelques destinations par noms de 
domaines (ici des antivirus) qui bénéficieront d’un traitement spécial (autorisation). 

e acl our bandst dstdomain .youtube.com ... : quelques autres destinations par noms 
de domaines qui consomment de la bande passante et qui bénéficieront d’un traitement 
spécial (interdiction). 

e acl Safe ports port .. :les ports 80, 443 et de 1025 à 65535. On notera une autre 
maniè d'écrire une liste. 


Le contrôle d'accès 


Une fois ces ACLS définies il faudra appliquer des autorisations ou des interdictions. 
ATTENTION : l'ordre a une importance capitale ! Enfin il vaudra mieux définir ce qui est 
autorisé et interdire tout le reste plutôt que l'inverse. 


# le protocole cache object (acl manager) ne pourra accèder que depuis l'adresse 
127.0.0.1 (acl localhost) et pas depuis une autre 

http access allow manager localhost 

http access deny manager 


# Interdit l'accès aux ports autres que 80, 21, 443 et de 1025 à 65535 (négation 
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CO ce CIS 2 reports) 
http access deny !Safe ports 


Interdit Maccès vers 27410 0 0/8 (acl! to localhost) 
http access deny to localhost 


Interdit l'accès vers les domaines définies dans acl our bandst 
http access deny our bandst 


Autorise l'accès depuis les serveurs définis dans acl our servers 
http access allow our servers 


autorice Teccss vers les ES CEeS ESRI te cens acl owe cesrip 
http access allow our destip 


Autorise l'accès vers les domaines définis dans acl our destdomain 
http access allow our destdomain 


Autorise l'accès depuis mon réseau (acl our networks) 
http access allow our networks 


Interdit tout le reste (mot réservé all) 
http access deny all 


Enfin on indiquera que Squid répondra à toutes les requêtes des clients ‘http reply access 
allow all. 


ll est bon de remarquer que dans ce casi les sources our servers et les destinations our_dstip, 
our _dstdomain seront toujours accessibles car si l'analyse des règles arrive jusqu'à ce niveau 
elle sera, dans tous les cas couronnée de succés lors de l'évaluation de la source our _netuork. 
Ces règles ne sont là que pour la suite, lorsque il y aura une authentification. 


Les URLS à ne pas cacher 


Lorsque l'on a affaire à du contenu dynamique, par exemple fabriqué à partir de scripts CGI 
auxquels on passe des paramètres identifiés par : ?, il est inutle de cacher ce contenu car il 
n'est pas reutilisable. On placera donc avant les ACLs : 


hierarchy stoplist cgi-bin ? 
acl QUERY urlpath regex cgi-bin \? 
cache deny QUERY 


Quelques autres parametres 


e negative ttl 30 minutes : si une page n'a pas été trouvée ou si une connexion a été 
refusée, une nouvelle tentative d'accés dans moins de 30 minutes donnera le méme 
résultat méme si la page est, entre temps, redevenue accessible. 

e client lifetime 12 hours : temps pendant lequel un navigateur peut rester connecté au 
cache. 

e uri whitespace deny : interdit les URLs contenant des espaces. 

e logfile rotate 5 : la commande : squid3 -k rotate a le même effet que la commande 
logrotate sur les fichiers de logs (acces, cache et store). 


Authentification externe 


Trouver de l'aide 


Les documentations sont la : /usr/share/doc/squid/ accessible par zcat sur les fichiers : 
README.auth module.pam.gz €tREADME.auth module.ldap.gz. Toutefois les informations 
contenues sont plutot pauvres … 


Les commandes man squid3 pam auth etman squid3 ldap auth donnent plus d'informations. 
PAM 


C'est pam auth qui permet l’authentification via PAM. Pour tester : lancer le programme. Il n'y a 
pas de prompt, tapez votre login et votre mot de passe séparés par un espace puis validez. Si 
ça ne répond pas OK vous avez un problème d'authentification qu'il faut absolument résoudre 
avant d'aller plus loin. 


/usr/lib/squid3/pam auth 
mtemouil deepsecret 

OK 

SE 
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Vous vous êtes bien débrouillé ! 


La configuration de squid. conf maintenant : 


auth param basic program /usr/lib/squid3/pam auth 


LDAP 
LDAP standard 


On va tester si l'authentification via un annuaire LDAP standard fonctionne. On va faire une 
recherche avec la commande : 


ldapsearch < LLLE 12) 3) Io mon iserveur laap D 
"uid=mon_login, ou=people, dc=systemx, dc=local" -w mon_mot_de passe 


Si vous avez le message /dap_bind: invalid credential inutile d'aller plus loin ... Sinon passez a 
la commande spécifique a Squid : 


/usr/lib/squid3/squid_ldap auth -v 3 -b "ou=people, dc=systemx, dc=local" 
mon_serveur_ldap 


ll n'y a pas de prompt, tapez votre login et votre mot de passe séparés par un espace puis 
validez. Si ga ne répond pas OK vous avez un problème d'authentification qu'il faut absolument 
résoudre avant d'aller plus loin. 


Puisque tout va bien, on indique donc dans squid. conf : 


auth param basic program /usr/lib/squid3/squid ldap auth -v 3 -b 
"ou=people, dc=systemx, dc=local" mon serveur ldap 


Active Directory 


Active Directory n'aime pas l'authentification anonyme, je vous conseille de créer un utilisateur 
qui servira à ça. Dans mon cas j'ai l'utilisateur squid3 : 


Nom complet : squid3 
nom d'ouverture de session : squid3 


onteste : 


ldapsearch xi CLL hemonghostsAbs—Deven-squids;cn—-Users, de-svysvemx, de ocal ue 
Kac- systems dc=local" -w deep secret 


Comme pour le serveur LDAP standard si vous avez /dap_ bind: invalid credential inutile d'aller 
plus loin … Le mot de passe est incorrect ! Mais il y a d'autres raisons pour que 
l'authentification échoue. Une fois n'est pas coutume avec nos "amis" de Redmond le serveur 
AD renvoie des codes d'erreurs compréhensibles, ci apras une liste (non exhaustive) des plus 
fréquents : 


525 : user not found 

52e : invalid credentials 

530 : not permitted to logon at this time 
532 : password expired 

533 : account disabled 

701 : account expired 

773 : user must reset password 

775 : accound locked 


Mais supposons que tout fonctionne, passons à l'authentification par Squid : 


/usr/lib/squid3/squid_ldap auth -h mon host AD -b "cn=users,dc=systemx,dc=local" - 
D "cn=squid3, cn=users, dc=systemx, dc=local" -w deep secret -f "(samaccountname=%s) " 


Le paramètre :-f "(samaccountname=%s)" permet d'utiliser comme login le nom d'ouverture 
de session (%s est le login passé au programme d'authentification). Si vous voulez utiliser le 
nom complet il faudra remplacer -£ ... par:-u en (cn = Canonical Name). 


ll n'y a pas de prompt, tapez votre login et votre mot de passe séparés par un espace puis 
validez. Si ga ne répond pas OK vous avez un problème d'authentification qu'il faut absolument 
résoudre avant d'aller plus loin. 


Puisque tout va bien, on indique donc dans squid. conf : 


auth param basic program /usr/lib/squid3/squid ldap auth -h mon host AD -b 
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"cn=users, dc=systemx, dc=local" -D "cn=squid3, cn=users, dc=systemx,dc=local" -w 
deep secret -f "(samaccountname=%s) " 


Configuration commune 


Le nombre d'occurences de squid ldap auth à lancer. Sur un serveur "chargé" il 
en faudra plus 
auth param basic children 5 


Mere de le rentre d’authenter fication 
auth param basic realm Web-Identification 


Intervalle de temps pour la revalidation du mot de passe 
auth param basic credentialsttl 5 minutes 


La règle indispensable 
acl ldap-auth proxy auth REQUIRED 


proxy auth est un mot réservé et REQUIRED signifie nimporte quel utilisateur valide. 


ll faut remplacerhttp access allow our networks Parhttp access allow ldap-auth et le 
tour est joué ! 


Attention, maintenant que ce ne sont plus les hosts de our _netuorks qui sont autorisés mais les 
utilisateurs authentifiés on peut vouloir autoriser quelques serveurs à ne pas s’authentifier. On 
va donc avoir les acls suivantes : 


acl 

el ldap-auth proxy auth REQUIRED 
http_access 

Ep access deny our_bandst 

tp access allow our servers 


tp access allow our destip 
tp access allow our destdomain 


D D D D °* 
CCE 


tp access allow ldap-auth 
tp_ access deny all 


ar ia 


L'ordre de http access ... est important (je sais je radote) ! Dans notre cas les destinations 
de our_bandst seront inaccessibles, et tout ce qui vient de our_servers ou est a destination de 
our_destip ou our dstdomain se fera sans authentification. 


Configuration des clients 


Script de configuration 


Votre navigateur préféré vous permet d'utiliser un serveur http pour charger un fichier de 
configuration automatiquei généralement nommé proxy.pac (l'extension pac pour Proxy Auto 
Configuration). 


Un fichierpac est un fichier texte qui contient au moins une fonction JavaScript 
FindProxyForURL(url,host) qui retourne l'adresse et le port du proxy. Au minimum on doit 
avoir: 


function FindProxyForURL(url, host) { return "PROXY proxy.fsystemx.local:3128; 
DERECT™; 3} 


Le navigateur charge le fichier proxy.pac, exécute la fonction FindProxyForURL(url,host) en 
lui passant l'url et le host demandés (dans notre exemple ce ne sera pas utilisé).La fonction 
retournera la méthode de connexion, le navigateur contactera alors le proxy nommé 
proxy.systemx.local sur le port 3128. Si le serveur proxy ne répond pas le navigateur sortira 
directement. 


Voici un exemple plus complet qui doit marcher : 


function FindProxyForURL (url, host) 
{ 


// Tout ce qui est à destination de company.com ne passe pas par le proxy 
if (dnsDomainIs(host,".company.com")) { return "DIRECT"; } 


ae it isPlainHostName (host) | 
dnsDomainIs (host,".systemx.local") || 
Siac (host VIO sOs0.0", YBE50.0 20%) || | 
iSite (Nostr YZ. INS O50", W255 2400.00) || || 
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ASIN (host MI Tee 0,0", Y255.255 0.0%) 
) 
{ 
return TDIRECTT 
i 


else 
{ 
aise, 3 (cual swlosieresine| (0, S)) EURE EEE) || || 
(url.substring(0, 6) == "https:") || 
(url.substring(0, 4) == "ftp:") 
) 
{ 
return "PROXY squid:3128; proxy.free.fr; DIRECT"; 
} 
else 


{ 
retürn "DIRECT; 
} 


} 


Si l'une des conditions suivantes est remplie : 


e le nom du host contacté n'est pas pleinement qualifié (sans nom de domaine par exemple 
: WW) 

e le nom du domaine contacté est systemx.local 

e le host contacté est dans un réseau conforme à la RFC 1918 


alors le navigateur ne passera pas par le proxy. 

Sinon, si aucune des conditions précédentes sont satisfaites, pour les protocole http et ftp, le 
navigateur passera par le proxy nommé squid à défaut par proxy.free.fr et enfin se connectera 
directement si aucun des proxys n'est disponible. 

À défaut de la réalisation des conditions précédentes le navigateur se connectera directement. 


Ce lien vous sera d'une grande utilité. Un peu moins austère, plus accessible et moins complet 
celui de Wikipedia : ici. 


Découverte automatique 


Le protocale WPAD (Web Proxy Automatic Discovery) comme son nom l'indique permet de 
découvrir automatiquement la configuration vue ci dessus. Il suffit de créer dans votre DNS un 
alias du proxy nommé vpad et de créer un alias nommé wpad. dat du fichier proxy . pac. 


Lorsque votre client de navigation démarre, s'il est configuré pour détecter automatiquement la 
configuration du proxy, il va exécuter : http: //wpad.mondomaine.local/wpad.dat 


Cas particulier Window 2008 : par défaut le serveur DNS de Microsoft bloque la résolution du 
nom "wpad" ... On se demande bien pourquoi ? Il semble que ce soit pour des raisons de 
sécurité mais vu la passoire qu'est déjà ce système, un peu plus un peu moins ... Vous pouvez 
changer ce comportement en mode commande : 

Vérifier : 

dnscmd /info /globalqueryblocklist 

Supprimer : 

dnscmd /config /enableglobalqueryblocklist 0 

C’est un peu brutal comme méthode, si vous voulez faire dans la finesse regardez l’aide de 
dnscmd. 


Configurations Linux 


En ligne de commande on peut renseigner les applications sur la maniére d’accéder a internet, 
nous allons voir comment. 


Variable d’environnement 


ll suffit d’affecter la variable : 

export http proxy=http://login:motdepasse@nom du serveur proxy:3128 
On préfèrera export à set Car la Variable sera héritée par les shells fils. 
Tester : 

w3m www.gogole.fr 


Miraculeux non ? 
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